تم الإبلاغ عن "جزء وظيفي من المحتمل أن يكون خطيرًا" يسمح للمهاجم بشن هجوم على البنية التحتية السحابية وملفات الفدية المخزنة في SharePoint و OneDrive.
يحذر الباحثون المهاجمين من إمكانية إساءة استخدام وظائف Microsoft Office 365 لاستهداف الملفات المخزنة على SharePoint و OneDrive في هجمات برامج الفدية.
عادةً ما تترك هذه الملفات ، المُخزنة عبر "الحفظ التلقائي" والنسخ الاحتياطي في السحابة ، للمستخدمين النهائيين بيانات الظهور محمية من هجوم برامج الفدية. ومع ذلك ، يقول الباحثون إن هذا ليس هو الحال دائمًا ، ويمكن أن تكون الملفات المخزنة على SharePoint و OneDrive عرضة لهجمات برامج الفدية.
يأتي البحث من Proofpoint ، الذي يحدد ما تقوله "وظيفة من المحتمل أن تكون خطرة" في تقرير صدر الأسبوع الماضي.
"اكتشف Proofpoint وظيفة يحتمل أن تكون خطرة في Office 365 أو Microsoft 365 تسمح لبرامج الفدية بتشفير الملفات المخزنة على SharePoint و OneDrive بطريقة تجعلها غير قابلة للاسترداد بدون نسخ احتياطية مخصصة أو مفتاح فك تشفير من المهاجم ،" وفقًا للباحثين.
كيف تعمل سلسلة الهجوم
تفترض سلسلة الهجوم الأسوأ وتبدأ بتسوية أولية لبيانات اعتماد حساب مستخدم Office 365. يؤدي هذا إلى الاستيلاء على الحساب ، ثم اكتشاف البيانات داخل بيئة SharePoint و OneDrive ، وفي النهاية اختراق البيانات وهجوم برامج الفدية.
يقول Proofpoint إن سبب كون هذه مشكلة كبيرة هو أن الأدوات مثل النسخ الاحتياطية السحابية عبر ميزة "الحفظ التلقائي" من Microsoft كانت جزءًا من أفضل الممارسات لمنع هجوم برامج الفدية. إذا تم قفل البيانات في نقطة نهاية ، فسيكون هناك نسخة احتياطية سحابية لإنقاذ اليوم. يؤدي تكوين عدد إصدارات الملف التي يتم حفظها في OneDrive و SharePoint إلى تقليل الضرر الناتج عن الهجوم. إن احتمالية قيام الخصم بتشفير الإصدارات السابقة من الملف المخزن عبر الإنترنت يقلل من احتمالية نجاح هجوم برامج الفدية الضارة.
تقول Proofpoint أنه يمكن تجنب هذه الاحتياطات عن طريق تعديل المهاجم حدود الإصدار، والذي يسمح للمهاجم بتشفير جميع الإصدارات المعروفة من الملف.
"تحتوي معظم حسابات OneDrive على حد إصدار افتراضي يبلغ 500 [نسخ احتياطية]. يمكن للمهاجم تحرير الملفات داخل مكتبة المستندات 501 مرة. كتب الباحثون الآن ، النسخة الأصلية (ما قبل الهجوم) من كل ملف هي 501 نسخة قديمة ، وبالتالي لم تعد قابلة للاستعادة. "تشفير الملف (الملفات) بعد كل تعديل من عمليات التحرير 501. الآن تم تشفير جميع الإصدارات القابلة للاستعادة الخمسمائة. لا يمكن للمؤسسات استعادة النسخة الأصلية (ما قبل الهجوم) من الملفات بشكل مستقل حتى إذا حاولت زيادة حدود الإصدار بما يتجاوز عدد الإصدارات التي تم تحريرها بواسطة المهاجم. في هذه الحالة ، حتى إذا تم زيادة حد الإصدار إلى 500 أو أكثر ، فلا يمكن استعادة الملف (الملفات) المحفوظة 501 إصدارًا أو أقدم ".
يمكن للخصم الذي يتمتع بإمكانية الوصول إلى الحسابات المخترقة إساءة استخدام آلية الإصدار الموجودة ضمن إعدادات القائمة ويؤثر على كافة الملفات الموجودة في مكتبة المستندات. يمكن تعديل إعداد الإصدار دون طلب امتياز المسؤول ، ويمكن للمهاجم الاستفادة من ذلك عن طريق إنشاء عدد كبير جدًا من إصدارات الملف أو تشفير الملف أكثر من حد الإصدار. على سبيل المثال ، إذا تم تعيين حد الإصدار المخفض على 1 ، فسيقوم المهاجم بتشفير الملف مرتين. قال باحثون: "في بعض الحالات ، قد يخترق المهاجم الملفات غير المشفرة كجزء من تكتيك ابتزاز مزدوج"
مايكروسوفت تستجيب
عندما سئل ، علقت Microsoft ، "وظيفة التكوين لإعدادات الإصدار داخل القوائم تعمل على النحو المنشود" ، وفقًا لـ Proofpoint. أضاف الباحثون أنه "يمكن استرداد الإصدارات القديمة من الملفات واستعادتها لمدة 14 يومًا إضافية بمساعدة دعم Microsoft".
ورد الباحثون في بيان: "حاول Proofpoint استرداد الإصدارات القديمة واستعادتها من خلال هذه العملية (أي باستخدام دعم Microsoft) ولم ينجح. ثانيًا ، حتى إذا كان سير عمل تكوين إعدادات الإصدار على النحو المنشود ، فقد أظهر Proofpoint أنه يمكن للمهاجمين إساءة استخدامه من أجل أهداف برامج الفدية السحابية ".
خطوات لتأمين Microsoft Office 365
توصي Proofpoint المستخدمين بتحصين حسابات Office 365 الخاصة بهم من خلال فرض سياسة كلمة مرور قوية ، وتمكين المصادقة متعددة العوامل (MFA) ، والحفاظ بانتظام على النسخة الاحتياطية الخارجية للبيانات الحساسة.
اقترح الباحث أيضًا "استراتيجيات الاستجابة والتحقيق" التي يجب تنفيذها في حالة حدوث تغيير في التكوين.
- قم بزيادة الإصدارات القابلة للاستعادة لمكتبات المستندات المتأثرة.
- حدد التكوين عالي الخطورة الذي تم تغييره والحسابات المخترقة مسبقًا.
- يجب إبطال رموز OAuth المميزة لأي تطبيقات مشبوهة تابعة لجهات خارجية على الفور.
- ابحث عن أنماط انتهاك السياسة عبر السحابة والبريد الإلكتروني والويب ونقطة النهاية من قبل أي مستخدم.
قال الباحثون: "الملفات المخزنة في حالة مختلطة على كل من نقطة النهاية والسحابة ، مثل من خلال مجلدات المزامنة السحابية ، ستقلل من تأثير هذه المخاطر الجديدة حيث لن يتمكن المهاجم من الوصول إلى الملفات المحلية / ملفات نقطة النهاية". "لإجراء تدفق فدية كامل ، سيتعين على المهاجم اختراق نقطة النهاية والحساب السحابي للوصول إلى نقطة النهاية والملفات المخزنة على السحابة."
